- 博客(98)
- 资源 (3)
- 收藏
- 关注
RSS订阅转载 “流量狂魔”--病毒分析报告
一. 简介 近日,百度安全实验室发现了一款新型顽固流量消耗木马。该木马通过重打包方式内嵌在第三方流行应用中,“流量狂魔”木马运行后第一时间动态加载附带的恶意子包,该恶意子包通过自动化模拟点击广告获取利益,这会消耗大量用户流量。“流量狂魔”木马还会定期请求远端服务器获取最新恶意子包,通过我们监控到的数据发现,目前最新版本恶意子包增加了利用设备漏洞获取root权限的功能,获取Root权限后,恶意子包会
2015-01-28 16:03:18
12904
1
原创 “刷榜客”-- 手机木马Google Play恶意刷榜
目前,随着应用市场内应用数量爆炸式的增长,App营销和推广的难度也越来越大,刷榜被普遍认为是一种应用推广的最佳捷径,它能够在短期内大幅提高下载量和用户量,进而提高应用的曝光率。曝光率的提升,带来下载量的激增,而激增的下载量又会保证排名靠前,以此呈现出滚雪球式的增长。国内App刷榜市场正逐步发展壮大,并衍生为一条完整的灰色产业链:应用开发者、刷榜服务商已经形成了一个紧密的结构。
2015-01-04 13:31:18
19622
7
原创 “暗隐间谍”--利用NDK NativeActivity技术实现Android加固
近日,百度安全实验室发现了一款被不同病毒家族利用的新型代码加固方式,该种代码加固方式巧妙的利用了Android系统提供的NativeActivity特性完成恶意代码的解固。目前主流的加固方案代码逻辑分为java层和native层两部分。而该种加固方式实现了代码的全部native化,java层未包含任何代码逻辑.
2014-12-25 10:09:15
15998
5
原创 “关机窃听”-- 病毒分析报告
在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了Android手机在关机状态下被黑客通过听筒进行窃听的全过程。近日,百度安全实验室发现一款“关机窃听”病毒。该病毒通过Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界面,使手机处于“假关机”状态;后台窃取用户短信、联系人、通话记录、位置信息、通话录音,上传到服务器
2014-12-23 10:01:49
15095
8
转载 "CoolReaper" --酷派手机后门
注:译文未获得平底锅授权,纯属学习性质翻译原文:https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-cool-reaper.pdf综述宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后
2014-12-22 18:09:01
15337
4
原创 Android Accessibility(辅助功能) --实现Android应用自动安装、卸载
随着Android版本的不断升级,Android Accessibility功能也越来越强大,Android 4.0版本以前,系统辅助服务功能比较单一,仅仅能过单向获取窗口元素信息,比如获取输入框用户输入内容。到Android 4.1版本以后,系统辅助服务增加了与窗口元素的双向交互,此时可以通过辅助功能服务操作窗口元素,比如点击按钮等。 由于系统辅助服务能够实时获取您当前操作应用的窗口元素信息,这有可能给你带来隐私信息的泄露风险,比如获取非密码输入框的输入内容等。同时通过辅助功能也可以模拟用户自动化
2014-12-12 11:27:19
22191
5
原创 “黑暗潜伏者” -- 手机病毒新型攻击方式
近期百度安全实验室发现一款“黑暗潜伏者”新型手机病毒。该病毒附着在众多壁纸和游戏类应用中。截至目前,已经发现感染该病毒的应用超过1万多款,感染用户超过3000万。 该病毒恶意行为如下:1、 后台利用系统漏洞获取临时Root权限。2、 获取临时Root权限后,安装SysPhones.apk恶意程序为系统软件,安装Root后门程序zy到/system/bin目录。3、 SysPhones.apk根据服
2014-11-17 17:04:10
21297
12
转载 broadAnywhere:Broadcast组件权限绕过漏洞(Bug: 17356824)
原创内容,转载请注明来源 http://retme.net/index.php/2014/11/14/broadAnywhere-bug-17356824.htmlLolipop源码已经放出有些日子了,我发现google在5.0上修复了一个高危漏洞,利用该漏洞可以发送任意广播:不仅可以发送系统保护级别的广播、还可以无视receiver的android:exported=false、android:
2014-11-17 10:23:56
10471
1
原创 Android设备管理器漏洞2--阻止用户取消激活设备管理器
日前,百度安全实验室发现手机木马开始利用另一新的Android设备管理器漏洞,新的设备管理器漏洞是由于Android系统在取消激活设备管理器流程的设计缺陷引起的,恶意软件利用该设计缺陷,可以阻止用户取消激活设备管理器,进而达到反卸载的目的。该漏洞存在于Android系统所有版本。
2014-10-10 16:23:32
17958
6
原创 “易融窃贼”--网贷平台隐私窃取
近日,百度安全实验室监控到一款具有特定商业目的“易融窃贼”新型隐私窃取类病毒,借款人在网络借贷平台申请贷款过程中,信贷顾问会要求借款人下载一款名为“P2”的手机客户端软件,并通过该软件提交个人资料,以便进行综合性评估。然而经过分析后我们发现,该款软件的功能远非表面上看起来那么简单合理。
2014-09-13 11:41:40
11560
2
转载 Android FakeID任意代码注入执行漏洞简析
博文作者:金刚项目团队发布日期:2014-09-01阅读次数:100博文内容:u 漏洞背景 国外安全机构BlueBox在2014年7月30日公布了一个关于APK签名的漏洞——FakeID,攻击者可利用该漏洞实现代码注入,执行恶意操作。u 漏洞危害1)受影响系统版本:部分Android 4.4及所有4.4以下版本;2)典型攻击场景:使用了Android webview组件的应用可被恶意监控或隐私
2014-09-02 19:25:39
10568
转载 launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )
作者:申迪 转载请注明出处 http://blogs.360.cn/360mobile/2014/08/19/launchanywhere-google-bug-7699048/前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞,并记为Google Bug 7699048。这是一个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意未导
2014-09-02 10:51:58
11829
原创 Android动态逆向分析工具ZjDroid--脱壳神器
ZjDroid是基于Xposed Framewrok的动态逆向分析模块,逆向分析者可以通过ZjDroid完成以下工作:1、DEX文件的内存dump2、基于Dalvik关键指针的内存BackSmali,有效破解各种流行加固方案3、敏感API的动态监控4、指定内存区域数据dump5、获取应用加载DEX信息。6、获取指定DEX文件加载类信息。7、dump Dalvik java堆信息。8、在目标进程动态运行lua脚本。
2014-07-25 17:28:54
33210
19
原创 近20家银行手机银行签名被非法滥用风险分析
近日百度安全实验室在手机银行正版信息提取时,发现有一个数字证书签名(签名信息如图1)被很多银行的手机客户端所使用。与此同时还发现了几款个人开发者类应用也使用了此证书签名。而这种数字签名被滥用的行为存在极大的安全隐患。 图1. 签名信息 经挖掘和分析,研究人员发现目前共有23款不同银行手机银行客户端使用该签名:以上不同银行的手机客户端应用都是外包给某第三方公司开发的。 在应用市场内,目前共发现6款个
2014-07-09 17:41:34
11135
转载 Android电话拨打权限绕过漏洞(CVE-2013-6272)分析
1. CVE-2013-6272漏洞背景CVE-2013-6272是一个安卓平台电话拨打权限绕过漏洞。该漏洞实际上是柏林的安全研究机构curesec在2013年底发现并秘密报告给google的,而并非是某国内团队发现的。Curesec同时也是安卓锁屏绕过漏洞(CVE-2013-6271)的发现者。Curesec于2014年7月4日公开了一个拨打电话相关的漏洞[1],我们对这个漏洞进行了分析。这个漏
2014-07-09 10:42:38
11873
转载 "伪中国移动客户端"--伪基站诈骗
一、简介: 近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。 伪基站发送的伪10086短信 图1. 伪10086短信
2014-06-05 11:24:01
13340
原创 “聊天剽窃手”--ptrace进程注入型病毒
近日,百度安全实验室发现了一款“聊天剽窃手”病毒,该病毒能够通过ptrace方式注入恶意代码至QQ、微信程序进程,恶意代码能够实时监控手机QQ、微信的聊天内容及联系人信息。该病毒是目前发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒。 简介 该病毒主要是通过ptrace注入QQ和微信进程进行信息窃取的,主程序调用assets中的inject_appso,libcall.so以及
2014-05-29 11:34:07
16766
9
转载 微信支付大盗--黑色产业链
随着移动互联网的迅速兴起,手机移动支付呈现井喷式发展。然而移动支付在便利人们生活的同时,也面临着越来越多的风险。据百度安全实验室监控数据显示,众多官方的手机网银客户端和支付工具都被黑客克隆成山寨版本,这些山寨移动支付应用总量超过500款。山寨手机支付应用已成为移动支付最大安全风险之一,严重威胁着用户资金财产安全。日前,实验室又截获了一款名为“微信支付大盗”的手机支付木马,该木马高度模仿真正的“微信
2014-05-19 11:54:43
17518
5
转载 Android设备HeartBleed漏洞影响分析
一、HeartBleed漏洞的描述 近日,OpenSSL报出严重的安全漏洞,被称之为“心脏出血”漏洞。通常情况下,SSL/TLS加密用于互联网通信中,如Web,电子邮件,即时消息(IM)和一些虚拟专用网络(VPN)的通信安全和隐私保护。OpenSSL在实现SSL/TLS的加密(心跳)处理逻辑时,对于数据包中的长度域不加检查,攻击者利用这一点,获取数据包中可以达到64K内存的用户数据。使得攻击者可能
2014-04-16 17:24:30
10294
转载 Android Pileup ROM升级漏洞初探
最近由印第安纳大学以及微软的研究人员(下文简称:研究人员)共同发现了Android系统上一直存在的一个漏洞,并发表了相应的论文,论文中称此漏洞为“Pileup”。此漏洞涉及范围广泛,几乎涉及到了目前所有的Android发行版本。 那么到底是怎样的一个漏洞会有如此大的影响范围呢?下面让我们一探究竟。 Pileup 漏洞是研究人员对于“privilegeescalation through upda
2014-04-02 16:11:00
9535
原创 【Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”
百度安全实验室最近发现了一款“应用传送门”病毒,该病毒架构设计简单灵活,完全实现了恶意代码的云端控制、插件化和动态可扩展。该病毒伪装成系统服务,且没有桌面图标,不易发现。该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码,从目前监测到的恶意插件来看,下载的插件存在以下恶意行为:1、 静默下载安装其它恶意程序。2、 静默下载安装其它推广应用。
2014-03-13 18:26:16
6526
3
原创 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木马,该木马高度模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器。盗取银行账号密码后,立即将用户账户里的资金转走。安全研究员发现其实该木马是早前风靡一时的“短信僵尸”木马的新变种,通过对大量“短信僵尸“样本的分析统计,安全研究员发现到目前为止,“短信僵尸”病毒已经迭代到第四个版本,危害也越来越大。该病毒家族几乎囊括了目前所有针对“用户财产”的攻击方法。包括短信诈骗、支付宝攻击
2014-02-10 10:29:01
10993
13
原创 【Android病毒分析报告】 - AVPasser 对抗安全软件监控
近期百度安全实验室发现了一款可以避过手机安全软件查杀的新型手机病毒,AVPasser。该病毒会窃取用户的照片,短信,联系人和通话记录,并且在您不知情的情况下对您的通话进行录音,使用前置摄像头偷拍用户,并上传至远程服务器,对用户的隐私造成极大的威胁。该病毒的最大亮点是它会向用户请求超级用户权限,在获得后篡改多家手机安全软件的数据库文件,从而躲避安全软件的检测和监控。
2014-01-28 13:12:18
7707
10
转载 HTC One X AT&T Root漏洞
在HTC One X AT&T 1.85固件及更早的版本上,预装了一款ATT Ready2Go应用,该程序以system用户运行,具有设置wifi、导入联系人、更换壁纸和安装应用程序等功能,我们可以利用此程序存在的漏洞获取设备Root权限。
2014-01-10 11:01:16
3432
原创 Android ART机制分析
Dalvik运行环境使用JIT(Just-In-Time)来进行转译,应用每次运行的时候,字节码都需要通过JIT转换为机器码,这会拖慢应用的运行效率。而ART则是使用AOT进行处理(Ahead-Of-Time),并会在应用程序安装完毕时,进行预先的基础性编译作业,这就减去了JIT运行时的机器码转化时间,应用的启动和执行都会变得更加快速。
2014-01-05 12:47:34
16006
3
原创 Motorola Razr ICS手机Root漏洞与利用原理分析
Motorola Razr ICS手机存在/data/local/12m目录,该目录由init进程在设备启动时创建并chown到shell用户组,且赋予shell用户组对该目录的rwx权限。因此我们可以通过adb shell创建/data/local/12m到/data目录的软链接,这样设备重启后,init进程对/data/local/12m目录的所有操作就会转换为对/data目录的操作,shell用户组就具有了对/data目录的rwx权限,我们可以通过修改/data/local.prop配置文件来使adb
2013-12-24 17:32:03
5034
2
转载 LBE 安全大师支持android 4.4注入分析
作 者: ImaxAndroi时 间: 2013-12-12,22:13:07链 接: http://bbs.pediy.com/showthread.php?t=182495LBE 安全大师注入Android 4.4分析基本信息应用名:LBE安全大师 5.1包MD5:5a1d8b24218ee39b399277df2f3fa840关键字:Root、android注入、SELinux分析原由and
2013-12-15 09:24:49
10055
7
原创 【Android病毒分析报告】 - “支付宝大盗”
近期百度安全实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘宝”、“taobao”、“银”、“行”、“农信”等关键字,如果包含,该病毒将会屏蔽此类金融支付类短信。
2013-12-06 11:50:45
22367
24
转载 Android Superuser 提权漏洞分析
博文作者:riusksk&popey[TSRC]发布日期:2013-11-20博文内容: 近日,国外安全研究人员揭露多款Android平台下的授权应用管理软件存在3个安全漏洞,利用漏洞可进行root提权,详见链接:http://forum.xda-developers.com/showthread.php?t=2525552。 TSRC也对这3个Android Superuser 提权漏
2013-11-22 11:50:45
4817
1
转载 Android第三个签名漏洞#9950697分析
上周末Google发布了Android 4.4,随着一系列新功能包括安全措施的发布,我们也从AOSP的源码中看到了google悄悄修复了一个bug:https://android.googlesource.com/platform/libcore/+/2da1bf57a6631f1cbd47cdd7692ba8743c993ad9%5E%21/#F0 从上图中可以看到,这个bug编号为99506
2013-11-20 18:04:39
4565
转载 LBE"免ROOT"利用MasterKey漏洞分析
目前Android MasterKey漏洞被人们熟知的有以下两种: 1、BlueBox Security 在BlackHat 2013大会上提报的Android MasterKey漏洞。(http://blog.csdn.net/androidsecurity/article/details/9280995) 2、安卓安全小分队在BlueBox Security提报漏洞之后发现的的另一Android MasterKey漏洞。(http://blog.csdn.net/androi
2013-10-28 23:33:11
10448
4
原创 【Android病毒分析报告】 - 新病毒FakeUmg “假面友盟”
近期百度安全实验室发现一款“假面友盟”新病毒,该病毒通过大批量二次打包第三方应用获得快速的传播。安全实验室监控数据表明,受该病毒感染的应用数以万计,且分布于国内不同流行应用商店,累计下载量超过10万余次。该病毒恶意代码伪装成著名的“友盟统计”插件,具有较强的隐蔽性,导致该病毒较难被发现。该病毒启动后,后台偷偷访问远端服务器获取吸费指令,并根据服务器端指令执行如下恶意行为:
2013-10-13 13:02:22
7435
2
原创 【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。
2013-09-29 07:36:52
10079
10
原创 【Android病毒分析报告】 - Andorid新病毒“UkyadPay”
近期百度安全实验室发现一款“UkyadPay“新病毒,该病毒目前已感染快播、超级小白点、萝莉保卫战等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令执行如下恶意行为
2013-09-25 07:19:16
14079
26
原创 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
近期百度安全实验室发现一款ZooTiger新病毒,该病毒集吸费、隐私窃取、恶意推广功能与一身,该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身,堪称Android病毒的“功夫熊猫”。
2013-09-17 17:14:09
6868
9
原创 【Android病毒分析报告】 - ZxtdPay 吸费恶魔
近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费方式。目前该病毒的吸费方式有以下几种:1、 后台私自发送短信订阅付费服务。2、 通过WAP自动下载收费应用,并自动完成扣费流程。3、 后台私自拨打收费IVR服务。(代码暂未实现) 另外在对该新病毒的分
2013-09-13 08:13:14
8978
9
转载 新浪微博Android客户端SSO授权认证缺陷
从最近几年开始,做平台的公司都流行起Open API。这是一个非常好的理念,也受到广大开发者的欢迎。如今,开发一款软件,你可以很容易地集成微博、微信、人人网等流行社交媒介的分享功能,做一个社交应用变得越来越简单。 主流社交媒介要集成到第三方应用中,最重要的入口就是安全便捷的授权认证系统。让用户在享受一键分享和各种社交乐趣的同时,又不用担心帐号安全和隐私泄露等问题。而对于一些有特殊目的的组织或个人来
2013-09-11 10:25:58
4092
原创 Android WebView挂马漏洞--各大厂商纷纷落马
近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。在乌云漏洞平台上,包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用均被曝光同类型漏洞。
2013-09-06 07:45:39
12834
4
原创 Android监控程序本身被卸载方法汇总
一般开发者都有这样的业务需求:统计自己应用的卸载量或在用户卸载应用后提供反馈信息以便更好的改进软件。
2013-09-03 16:55:45
10458
6
转载 Android第二个绕过签名认证漏洞原理
本文章由Jack_Jia编写,转载请注明出处。 文章链接:http://blog.csdn.net/jiazhijun/article/details/9984085作者:Jack_Jia 邮箱: 309zhijun@163.com一、漏洞描述 该漏洞最早由国内“安卓安全小分队”(http://blog.sina.com.cn/u/
2013-08-15 17:24:44
8149
1
中国移动cmpp3.0协议
2009-12-21
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人